Apple macOS操作系统中存在三个致命漏洞
发布日期:2018-11-30前段时间,Dropbox团队公布了Apple macOS操作系统中三个关键漏洞的详细信息,这些漏洞可能只允许远程攻击者通过诱使受害者访问恶意网页来在目标Mac计算机上执行恶意代码。这些漏洞在今年2月被苹果安全团队发现并披露,然后苹果公司在一个多月后发布其3月安全更新后对其进行了修补。
虽然发现的只有三个漏洞,但这些漏洞不仅影响其macOS机群,还影响了当时运行最新版Web浏览器和操作系统的所有Safari用户,可以说危害是比较大的。
以下是三个报告(当时为零日)漏洞的列表:
1、存在于macOS的CoreTypes组件中的第一个缺陷(CVE-2017-13890)允许Safari Web浏览器通过恶意制作的网页自动下载并在访问者系统上安装磁盘映像。
2、第二个缺陷(CVE-2018-4176)以磁盘映像处理.bundle文件的方式存在,这些文件是打包为目录的应用程序。利用该漏洞可能允许攻击者使用名为bless的可启动卷实用程序及其--openfolder参数从挂载的磁盘启动恶意应用程序。 3、第三个漏洞(CVE-2018-4175)涉及绕过macOS Gatekeeper反恶意软件,允许恶意制作的应用程序绕过代码签名强制执行并执行终端应用程序的修改版本,从而导致任意命令执行。
如果能够通过将所有三个漏洞链接在一起来控制Mac计算机,只需说服受害者使用Safari访问恶意网页,就可以创建两阶段攻击。
第一阶段包括终端应用程序的修改版本,它被注册为新文件扩展名(.workingpoc)的处理程序。此外,它将包含一个名为”test.bundle“的空白文件夹,该文件夹将被设置为默认的“openfolder”会在没有提示的情况下自动打开/Applications/Terminal.app。
“第二阶段包括一个带有扩展名”.workingpoc“的unsigned shellscript,然后在没有提示的情况下在正在运行的终端应用程序中执行。”
Apple于3月29日发布了安全更新,其中包括针对这三个漏洞的安全修复程序。因此,您只需确保定期安装所有每月安全更新,以保护您的系统免受任何威胁。
以上,是为大家分享的"Apple macOS操作系统中存在三个致命漏洞”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧.
相关资讯
一个苹果的不安全警告样式即将发布,Safari技术预览版是Safari浏览器的高级版本,可让您看到目前还没有正式发布的前沿技术,就像Chrome的金丝雀版本一样。
什么是数字签名?简单来说,数字签名是公钥密码的逆应用:用私钥加密消息,用公钥解密消息。数字签名是为了证明对方发的信息并没有被更改过,但前提条件是你确认对方是可靠的,即你拥有的公钥确实是对方的公钥而不是其他人的公钥。而数字证书就是为了证明你拥有的公钥确实是对方的。